Utlöst av högriskiga cyberattacker och efterföljande mainstream pressbevakning, går den federala regeringen mot nya krav för cybersäkerhet av kritisk infrastruktur.
En juli Office of Management and Budget (OMB) memo (PDF) uppmanade myndigheter över hela den federala regeringen att upprätta specifika "prestandastandarder" för cybersäkerhet för sina respektive branscher - och, ännu viktigare, att budgetera för federala myndigheters "granskning och utvärdering" av cyberhärdande planer som utarbetats av organisationer som krävs för att uppfylla dessa nya standarder.
Behövs: Federal granskning och bedömning av planer
Denna nivå av direkt övervakning utökar det tillvägagångssätt som idag endast tillämpas på den mest kritiska nationella infrastrukturen - särskilt elnätet (reglerat av Department of Energy, Federal Energy Reliability Commission och North Amerian Reliability Corp.) och olja och gas pipelines (Department of Homeland Security och Transportation Security Administration) — över hela spektrumet av amerikanska industrier som människor litar på, inklusive detaljhandel, läkemedel, kemikalier, transport och distribution, mat och dryck och många andra.
En bransch som sannolikt kommer att känna denna reglerande aktivitet starkt, och se betydande förändringar som ett resultat, är vattensektorn. Vattenföretagen är mycket sårbara för cyberattacker och är i akut behov av förnyade – och upprätthållna – säkerhetsstandarder. Faktum är att Biden-administrationen nyligen antydde att Environmental Protection Agency (EPA) kommer att utfärda en ny regel som skulle inkludera cybersäkerhet i sanitetsgranskningar av landets vattenanläggningar - ytterligare stödja högre standarder när det gäller cybersäkerhet.
Insatserna är höga: Ett typiskt kommunalt vattenbehandlingssystem filtrerar 16 miljoner liter vatten varje dag, och en framgångsrik hackare kan smutskasta hela samhällets vattenförsörjning. Detta är inte en hypotetisk rädsla — en hackergrupp lyckades nyligen infiltrera en vattenreningssystem i Oldsmar, Fla. Genom att mixtra med mängden lut i vattnet utsätter de en hel stad för fara. Och nyligen riktade sig Clop ransomware-gänget mot Södra Staffordshire vattenverk i Storbritannien. Även om dessa attacker inte alltid är framgångsrika, har allvaret av riskerna klargjorts mycket tydligt.
Trots tidigare försök att förbättra säkerhetsstandarderna för vattensektorn är den fortfarande sårbar. Även America's Water Infrastructure Act från 2018 (AWIA), som angav att vattenverk måste utveckla nödberedskapsplaner som tar itu med cybersäkerhetshot som en del av en bredare ansträngningar för att förbättra den övergripande infrastrukturen och kvaliteten, inte nämnvärt förändrade cybersäkerhetsställningen för branschen. Sektorn omfattar 50,000 XNUMX separata verktyg i USA, varav de flesta är små och förvaltas av kommuner; denna splittring, i kombination med allmän ovilja från operatörerna att överge befintlig praxis, möjliggjorde drivkraften för förändringar att avta.
Men prejudikat säger oss att federala bestämmelser kan göra skillnad när de görs rätt. Vi ser redan framsteg inom en annan sårbar sektor för kritisk infrastruktur: olja och gas. Följer den högprofilerade Colonial Pipeline Hack 2021 släppte Department of Homeland Securitys Transportation Security Administration (TSA) snabbt två säkerhetsdirektiv, med en uppdatering år 2022, vilket fördubblar sina ansträngningar för att säkerställa bättre skydd för energiinfrastruktur i hela landet. Dessa direktiv betonade autentiseringshantering och åtkomstkontroll, två saker som skulle ha hjälpt till att blockera ransomware-attacken i första hand.
Trots inledande återkoppling från rörledningsägare och operatörer leder dessa första av sitt slag TSA-krav redan hela sektorn mot en mer skyddad miljö. Operatörer lutar sig nu åt säkerhetsåtgärder centrerade kring proaktivitet och attackförebyggande.
Uppmaning till attackförebyggande leder till mer skydd
Den viktigaste skillnaden här är att TSA-direktiv kräver implementeringsplaner för cyber skydd, inte bara för att upptäcka och svara på incidenter. När operatörerna var tvungna att skydda
själva, inte bara reagera på händelser i efterhand – och när den federala regeringen väl såg över sina cyberskyddsplaner – började olje- och gassektorn röra på sig på allvar.
Och nu, med OMB:s vägledning till myndigheter, kommer samma direkta övervakning av cyberskydd att komma till andra sektorer också, inklusive vatten. Med andra ord är rörelsen inom olja och gas en antydan om vad som komma skall för annan kritisk infrastruktur.
Oldsmar-hacket 2021 visade världen hur lätt – och hur förödande – en attack mot en vattenanläggning kan vara. Oavsett historiska industrinormer, a tydligt behov av bättre cybersäkerhet har dykt upp och det verkar som om regeringen är beredd att gå framåt mer aggressivt än någonsin. Dess breda strävan mot bättre säkerhet för kritisk infrastruktur är redo att bli den katalysator som många sektorer, som vatten, har desperat behov.
Anläggningsägare och operatörer kan inte längre bortse från riskerna; tyngre reglering är ett "när", inte ett "om". Nu är det dags för dem att sträva efter bättre, modernare cybersäkerhet.
